Curso

SCRUM MASTER ADVANCED

Webinário

Visão prática de um SGSI e

Roadmap de implementação
da ISO/IEC 27001

Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica

deste material sem a permissão
® Todos osexpressa do autor. Proibida a redistribuição deste material.
direitos reservados. Versão: 1 Liberação: 23/09/21
Módulo 1: Visão geral da ISO/IEC 27001

Família ISO/IEC 27000

▪ A série ISO / IEC

27000 (também Vocabulário
conhecida como 'Família
de normas GSI' ou
'ISO27K') inclui normas Requisitos
de segurança da
informação publicadas
Diretrizes
em conjunto pela ISO
e pela IEC.
▪ Existem mais de 40 Guias
específicos
normas nessa família. para setores

Guias de
controle
específicos

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 2

Módulo 1: Visão geral da ISO/IEC 27001

Algumas normas da família ISO/IEC 27000

As normas internacionais para segurança da informação são ordenadas respeitando ordem
de numeração, tal como elencado a seguir:

ISO/IEC 27000: SGSI – Linhas gerais e vocabulário

ISO/IEC 27001: SGSI – Requisitos

ISO/IEC 27002: Boas práticas para controles de SI

ISO/IEC 27003: Guia de implantação do SGSI

ISO/IEC 27004: Gestão da segurança da informação – Medição

ISO/IEC 27005: Gestão de riscos em segurança da informação

ISO/IEC 27006: Requisitos para empresas de auditoria e certificação de SGSIs

ISO/IEC 27007: Diretrizes para auditoria em SGSI

ISO/IEC 27701: Extensão ISO 27001/2 para Privacidade de Dados

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 3

Módulo 1: Visão geral da ISO/IEC 27001

O que é um SGSI (Sistema de Gestão de Segurança da Informação)?

É uma abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar,

manter e melhorar a segurança das informações de uma organização a fim de alcançar os
objetivos de negócios.

Partes Partes
interessadas Estabelecer o
interessadas
Manter e
SGSI
Melhorar o SGSI
(PLAN)
(ACT)

Monitorar e Analisar Implementar e

Criticamente o SGSI Operar o SGSI
Expectativas e (DO) Segurança da
(CHECK)
requisitos de informação
Segurança da gerenciada
informação

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 4

Módulo 1: Visão geral da ISO/IEC 27001

14 componentes de um SGSI conforme ISO/IEC 27001

Papéis, Monito-
Liderança e responsa- Gerencia-
Objetivos de Política de ramento de
comprome- bilidades e mento de
SI SI desempenho
timento competências riscos
e KPIs

Disponibilidade

Contexto da Gestão de
organização SGSI incidentes

Conscientização Gestão de Auditoria Melhoria

Documentação Comunicação interna
dos usuários fornecedores contínua

Fonte:
® Todos os direitos reservados. Proibida a redistribuição deste material. ISACA Slide 5
Módulo 1: Visão geral da ISO/IEC 27001

Evoluindo para um SGPI

Um Sistema de Gestão de Privacidade da Informação (SGPI) é uma extensão do
SGSI, adicionando requisitos e controles específicos para garantir a privacidade
das as informações.

Sistema de Gestão de Privacidade da Informação (SGPI)

ISO/IEC 27001 Extensão para ISO/IEC 27701

Sistema de Gestão privacidade Sistema de Gestão
de Segurança da - Para controladores de Privacidade da
Informação (SGSI) - Para processadores Informação

® Todos os direitos reservados. Proibida a redistribuição deste material.

Módulo 1: Visão geral da ISO/IEC 27001

Tópico

Estrutura da ISO/IEC 27001:2013

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 7

Módulo 1: Visão geral da ISO/IEC 27001

Seções da ISO/IEC 27001:2013

0 - Introdução
1 - Escopo da norma (finalidade da norma)
2 - Referência normativa: faz referência à ISO/IEC Seções
27000 introdutórias
3 - Termos e definições: faz referência à ISO/IEC 27000
4 - Contexto da organização
5 - Liderança
6 - Planejamento
7 - Apoio Requisitos
obrigatórios
8 - Operação
9 - Avaliação de desempenho
10- Melhoria
São selecionados de acordo
Anexo A – Controles e objetivos de controle com escopo/análise de riscos
(Declaração de Aplicabilidade)

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 8

Módulo 1: Visão geral da ISO/IEC 27001

Adoção do modelo PDCA

PLAN DO CHECK ACT
Contexto da Avaliação do
Planejamento
organização Liderança (5) Apoio (7) Operação (8) desempenho Melhoria (10)
(6)
(4) (9)

Ações para Planejamento e Não

Entendendo a Liderança e Monitoramento,
contemplar Recursos (7.1) controle conformidade e
organização e compro- medição,
riscos e operacional ações
seu contexto metimento análise e
oportunidades (8.1) corretivas
(4.1) (5.1) avaliação (9.1)
(6.1) (10.1)
Competência
Avaliação de
Entendendo as (7.2)
Objetivo da riscos de
necessidades e Política (5.2) Auditoria Melhoria
segurança da segurança da
expectativas interna (9.2) contínua (10.2)
informação e informação
das partes
planos para Conscientiza- (8.2)
interessadas
alcançá-la (6.2) ção (7.3)
(4.2)
Papéis, Tratamento de Analise crítica
responsabilidade riscos de pela Direção
Determinando Segurança da (9.3)
e autoridades Comunicação
o escopo do Informação
organizacionais (7.4)
SGSI (8.3)
(5.3)
(4.3)

Informação
Sistema de documentada
gestão da (7.5)
segurança da
informação
(4.4)

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 9

Módulo 1: Visão geral da ISO/IEC 27001

Controles do Anexo A da ISO/IEC 27001

O Anexo A da ISO/IEC 27001 tem um catálogo de 114 controles de segurança em 14

grupos e 35 objetivos de controle, os quais a organização deve selecionar de acordo com
a sua aplicabilidade (para tratar os riscos).

A.5 Políticas de segurança da informação A.12 Segurança nas operações

A.6 Organização da segurança da informação A.13 Segurança nas comunicações

A.14 Aquisição, desenvolvimento e manutenção

A.7 Segurança em recursos humanos de sistemas

A.8 Gestão de ativos A.15 Relacionamento na cadeia de suprimento

A.16 Gestão de incidentes de segurança da

A.9 Controle de acesso informação

A.17 Aspectos da segurança da informação na

A.10 Criptografia gestão da continuidade do negócio

A.11 Segurança física e do ambiente A.18 Conformidade

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 10

Módulo 1: Visão geral da ISO/IEC 27001

Diretrizes para os controles na ISO/IEC 27002

27001 27002
1. Escopo 5. Políticas de Segurança da Informação
2. Referências normativas 6. Organização de Segurança da Informação
3. Termos e definições 7. Segurança em Recursos Humanos
4. Contexto da organização
8. Gestão de ativos
5. Liderança
6. Planejamento 9. Controle de acesso
7. Suporte 10. Criptografia
8. Operação 11. Segurança física e do ambiente
9. Avaliação 12. Segurança nas operações
10. Melhoria
13. Segurança nas comunicações
Anexo A
14. Aquisição, desenvolvimento e manutenção de sistemas
15. Relações na cadeia de suprimento
16. Gestão de incidentes de segurança da informação
17. Aspectos de segurança da informação na gestão da
continuidade de negócio
18. Conformidade

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 11

ISO/IEC 27001 + 27002 + 27701

SGSI: Código de prática SGPI:

Sistema ISO/IEC (diretrizes de ISO/IEC Sistema
ISO/IEC
de Gestão de Seg. da 27002 implementação para os 27701 de Gestão da
27001 Privacidade da
Informação controles)
Informação
1. Escopo 1. Escopo 1. Escopo
2. Referências normativas 2. Referências normativas 2. Referências normativas
3. Termos e definições 3. Termos e definições 3. Termos e definições
4. Contexto da 4. Estrutura da norma 4. Conceitos Gerais
organização 5. Políticas de segurança da informação 5. Requisitos SGPI (27001)
5. Liderança 6. Organização da segurança da informação 6. Diretrizes SGPI (27002)
6. Planejamento 7. Segurança em recursos humanos 7. Diretrizes (Controladores)
7. Apoio 8. Gestão de ativos 8. Diretrizes (Operadores)
Controles do Anexo A

8. Operação 9. Controle de acesso 9. ANEXOS (A,B, C, D, E, F)

9. Avaliação 10. Criptografia
10. Melhoria 11. Segurança física e do ambiente
11. ANEXO A 12. Segurança nas operações
13. Segurança nas comunicações
14. Aquisição, desenvolvimento e
manutenção de sistemas
15. Relacionamento na cadeia de suprimento
16. Gestão de incidentes de seg. da
informação
17. Aspectos da segurança da informação na
gestão de continuidade do negócio Slide 12
18. Conformidade

® Todos os direitos reservados. Proibida a redistribuição deste material.

Módulo 1: Visão geral da ISO/IEC 27001

Tópico

Certificação de organizações
na ISO/IEC 27001

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 13

Módulo 1: Visão geral da ISO/IEC 27001

Exemplo de plano de implementação alto nível da ISO/IEC 27001

Análise do
Obtenção de Política de
contexto e Plano de
patrocínio da alta segurança da
definição de implementação
direção (CEO) informação
escopo do SGSI

Definição de Declaração de
Inventário de
metodologia de Avaliação de Aplicabilidade
ativos de
gerenciamento de Riscos (justificar
informação
riscos controles anexo A)

Implementação de
Documentação / Auditoria interna &
controles & Programa de
procedimentos do análise crítica da
aceitação de conscientização
SGSI alta direção
riscos residuais

Estágio 1:
Estágio 2:
Um projeto de implementação até a
auditoria de certificação final pode durar em média de
auditoria de
certificação
certificação final 6 a 9 meses dependendo do tamanho da
(externa)
organização.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 14

Módulo 1: Visão geral da ISO/IEC 27001

Vantagens da certificação

Diferencial para Redução de custos

Maior segurança clientes que com prevenção de
para a rede buscam empresas incidentes de
corporativa parceiras segurança da
certificadas informação

Valor de mercado
Mais organização e Conformidade com para divulgações e
produtividade requisitos legais diferenciação em
negociações

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 15

Módulo 1: Visão geral da ISO/IEC 27001

Formação Auditor Líder ISO/IEC 27001

▪ Focada em formar líderes de equipe de auditoria capazes de verificar conformidade de
uma organização com a ISO/IEC 27001
▪ 26 horas ao vivo
▪ Única Turma de 2021
▪ 3 vagas disponíveis
▪ Dividido em 2 partes:
– Intepretação dos requisitos ISO/IEC 27001 + Controles do Anexo A
• Profª Andrea Melo
• 27 a 30 de setembro – 19h às 22h
– Práticas de auditoria conforme ISO 19011
• Prof. Anderson Santana
• 2 e 3 de Outubro

▪ Pode servir como preparatório para os exames de Auditor Líder da Certiprof (em
espanhol) e da Exemplar Global (em português via ComExito).
▪ Inscrições em http://www.tiexames.com.br/

® Todos os direitos reservados. Proibida a redistribuição deste material.